Communiqué de presse du Conseil de l’UE du 8 juin 2018
Le 8 juin dernier, le Conseil de l’UE a livré sa position sur le chantier « cyberrésilience » de la réforme sur la cybersécurité en marche depuis le 19 septembre 2017.
La Commission européenne avait effectivement présenté, à la rentrée dernière, des mesures visant à améliorer la « cyber-résilience » dans l’Union. L’objectif : mettre en place les outils adéquats aux cyberattaques qui se multiplient sur le territoire de l’Union.
Globalement, le Conseil de l’UE a approuvé l’orientation générale du projet de Règlement à venir sur deux grands axes :
- La création d’un système européen de certification de cybersécurité
Le but est de permettre, d’une part, d’améliorer la confiance des utilisateurs dans la sécurité des technologies et, d’autre part, d’encourager les entreprises à développer leurs activités sur d’autres territoires.
Le projet de texte prévoit un tel mécanisme pour des processus, des produits et services « IT » spécifiques.
Le périmètre couvrirait la résilience en cas de perte ou d’altération de données, qu’elle soit accidentelle ou délibérée.
Trois niveaux d’assurance seraient proposés : un niveau élémentaire (qui serait réalisé par les prestataires eux-mêmes : sorte d’auto-évaluation), un niveau substantiel, un niveau élevé (à définir).
Les certificats délivrés seraient valables sur tout le territoire de l’UE.
En revanche, ce système de certification resterait facultatif, sauf dispositions contraires du droit de l’Union, ou du droit interne concerné.
- La mise en place d’une agence de l’UE pour la cybersécurité
Un mandat permanent serait donné à l’ENISA avec clarification de son rôle.
L’ENISA se verrait naturellement confier de nouvelles tâches, avec pour objectif d’apporter son soutien aux parties prenantes dans le domaine de la cybersécurité, tels que les Etats membres et les institutions concernées de l’UE. Par exemple, l’ENISA devrait organiser régulièrement des exercices à l’échelle de l’UE et promouvoir l’action politique de l’UE en matière de certification de la cybersécurité.
Un réseau d’agents nationaux serait également mis en place pour faciliter les communications ENISA/Etats membres.
Le texte doit encore être discuté au Parlement de l’UE avant de prendre sa forme « définitive » et être approuvé, vraisemblablement, au début de l’année 2019.
A suivre…